Gratis
20. August 2019 - Technischer Datenschutz

Virenschutz: Datenleck bei Kaspersky entdeckt

Drucken

Eine Software, die eigentlich vor Bedrohungen aus dem Internet schützen soll, hat möglicherweise über Jahre die Privatsphäre ihrer Nutzer gefährdet.

Vorsicht: Auch Antiviren-Programme können selbst Sicherheitslücken aufweisen Vorsicht: Auch Antiviren-Programme können selbst Sicherheits-Lücken aufweisen (Bild: iStock.com / Rawf8)

Die Virenschutz-Software von Kaspersky gehört zu den bekanntesten und auch verbreitetsten Schutz-Programmen in kleineren Unternehmen.

Nach einer Untersuchung der Zeitschrift c’t existierte über einen nicht weiter einzugrenzenden Zeitraum in den Windows-Versionen der Programm-Pakete für private Anwender und kleinere Unternehmen eine Sicherheitslücke, die die Privatsphäre der Nutzer aushebelte.

Eindeutige Benutzer-Kennung versendet

Zum Programm-Paket gehört auch ein Werkzeug, mit dessen Hilfe der Nutzer bei der Suche mit Google aus Sicht des Herstellers vertrauenswürdige Webseiten erkennen soll. Diese vertrauenswürdigen Webseiten werden in der Trefferliste farbig markiert.

Um diese Darstellung zu ermöglichen, muss die Software den HTML-Code, den der Browser darstellt wird, anpassen.

Dazu schleust die Software einen vom eingesetzten Browser unabhängigen Codeblock ein. Wie das Magazin herausgefunden hat, ist in diesem Codeblock eine ID integriert, die offenbar dauerhaft gespeichert und genutzt wurde.

Das Einschleusen dieser Kennung in den HTML-Code der Webseite erlaubt es aber anderen Skripten, die auf der gleichen Webseite serverseitig laufen, die ID der Schutzsoftware auszulesen.

Da diese ID über Tage identisch war, ist technisch somit die Kennung einem bestimmten Computer zuzuordnen.

Somit erfüllt die Funktion, die eigentlich die Sicherheit erhöhen soll, die gleiche Aufgabe wie ein siteübergreifendes Tracking, wie es die Werbewirtschaft etwa durch das Setzen von Cookies erzielt.

Das Tracking funktionierte browserübergreifend und hebelte auch einen Inkognito-Modus des Browsers aus.

Patch verfügbar

Der Hersteller hat bereits auf die Problematik reagiert und diese Sicherheitslücke mittels eines Patches geschlossen.

Kaspersky hat zudem einen offiziellen Sicherheitshinweis formuliert und den Nutzer gegenüber zugänglich gemacht.

Nach den Informationen der c’t hat Kaspersky den Mechanismus allerdings nicht vollständig überarbeitet, sondern setzt nach wie vor eine ID.

Diese ist allerdings jetzt für alle Nutzer und Systeme gleich. So ist keine Zuordnung zu einem bestimmten System mehr möglich.

Attacke unwahrscheinlich

Nach Ansicht von Kaspersky ist es unwahrscheinlich, dass Angreifer die Lücke bereits ausgenutzt haben. Eine Attacke darauf sei demnach „zu komplex und nicht profitabel genug für Cyberkriminelle“.

Für Unternehmen ist der Vorfall unter zwei Gesichtspunkten bedeutsa:

  • Zum einen zeigt er, dass Probleme für die eigene Sicherheit auch durch den Einsatz von Sicherheits-Werkzeugen erwachsen können.
  • Deswegen ist grundsätzlich die Anschaffung von Programmen sinnvoll, die ihre Eigenschaften durch externe Zertifikate und Audits nachweisen können.
  • Außerdem beweist er die Notwendigkeit, solche Lösungen stets und regelmäßig zu aktualisieren.

Stephan Lamprecht